Решена возможно вирус

  • Автор темы Автор темы GrekID
  • Дата начала Дата начала
Статус
В этой теме нельзя размещать новые ответы.
G

GrekID

Новый пользователь
Сообщения
21
Реакции
0
система официальная вин7 хом, отработала примерно год без глюков, последнее время стала шалить по полной, иногда во время открытия яндекса выдаёт 410 ошибка, на прошлой неделе в один день всего, на этой уже 3 дня подряд! Спасибо вам за помощь
 

Вложения

Приветствую GrekID, вы обратились в раздел оказания помощи в удалении вредоносного ПО. Консультанты в ближайшее время ответят на ваш запрос.
__________________________________________________

Пожалуйста убедитесь в том, что вы подготовили и прикрепили к теме необходимые логи для проведения анализа:
  • virusinfo_syscure.zip, virusinfo_syscheck.zip, log.txt, info.txt
Если вы этого еще не сделали, то вам необходимо прочесть тему Правила оформления запроса о помощи и подготовить логи.

__________________________________________________
С уважением, администрация SafeZone.
 
Здравствуйте, сейчас посмотрю.
 
Здравствуйте, огромное Вам спасибо.
 
Файл C:\Users\GrekID\Desktop\AA_v3.exe Вам знаком?

Отключите
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт)
Код: 
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile(RegKeyStrParamRead('HKEY_CURRENT_USER','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders','Startup')+'\0.323412417690618.exe.lnk','');
 QuarantineFile('C:\Users\GrekID\AppData\Local\Temp\0.323412417690618.exe','');
 QuarantineFile('C:\Windows\svcadmin.exe','');
 DeleteFile(RegKeyStrParamRead('HKEY_CURRENT_USER','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders','Startup')+'\0.323412417690618.exe.lnk');
 DeleteFile('C:\Users\GrekID\AppData\Local\Temp\0.323412417690618.exe');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Users^GrekID^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^0.323412417690618.exe.lnk');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
ПК перезагрузится. Выполните скрипт в AVZ
Код: 
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Архив quarantine.zip из папки с AVZ отправьте через веб-форму.

Обновите базы AVZ (Меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT +
  • Скачайте Malwarebytes' Anti-Malware, установите, обновите базы.
  • Выберите Полное сканирование, нажмите Сканирование. Отметьте локальные диски и флешки.
  • После сканирования откроется лог. Сохраните его и прикрепите к сообщению.
 
Файлы Вам отправил.
S.R написал(а):
Обновите базы AVZ (Меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT +
Нажмите для раскрытия...
будьте так добры, если Вас не затруднит по подробнее расписать следующие задачи! заново всё отключить? если вас не затруднит то ссылку как отключить полностью антивирусник nod32 4 с системы win7 x64 home basic
я в это время выполняю ваш последний скрипт.
Спасибо.
 
В карантин ничего не попало ждем следующего лога
 
Цитирую "Файл C:\Users\GrekID\Desktop\AA_v3.exe Вам знаком?" да, мне знаком, им пользуюсь для управления другими компьютерами. Правда только ингда, мне его порекомендовали в замен Тим Вивера! а пользовался в основном только им до этого!

Добавлено через 3 минуты 16 секунд
а вы думаете я не жду? я с очень большой опаской буду открывать WM ключи если есть подозрение на хоть какой нибудь вирус. спасибо ВАМ за помощь и за уделенное время!
 
вроде всё что просили, выполнил. ребята я прошу только сказать есть у меня вирусы или нет, могу ли я завтра, после вашего (согласия или опровержения) в дальнейшем использовать именно эту систему безопасно или мне лучше сменить систему. Спасибо Вам огромное!
 

Вложения

Если МВАМ уже закрыли, то просканируйте заново и удалите эти строки
Обнаруженные ключи в реестре:

HKLM\SOFTWARE\PUBLIC DOMAIN\BLAT (PUP.Mailer.Blat) -> Действие не было предпринято.
HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\BLOCK_READER (Trojan.LdPinch) -> Действие не было предпринято.
Обнаруженные параметры в реестре:

HKLM\SOFTWARE\PUBLIC DOMAIN\BLAT|SMTP server (PUP.Mailer.Blat) -> Параметры: smtp.yandex.ru -> Действие не было предпринято.
HKLM\SYSTEM\CurrentControlSet\Services\block_reader|DisplayName (Trojan.LdPinch) -> Параметры: MPR DRV -> Действие не было предпринято.
Обнаруженные папки:

C:\ProgramData\MPK (Refog.Keylogger) -> Действие не было предпринято.
C:\ProgramData\MPK\1 (Refog.Keylogger) -> Действие не было предпринято.
Обнаруженные файлы:

C:\ProgramData\MPK\mpk.db (Refog.Keylogger) -> Действие не было предпринято.
Нажмите для раскрытия...
остальные кряки и кейгены на ваше усмотрение, но тоже могут быть заражены.

Не сделали еще это
Обновите базы AVZ (Меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT
Нажмите для раскрытия...
 
GrekID написал(а):
заново всё отключить?
Нажмите для раскрытия...
Да, на время создания логов/выполнения скриптов отключайте защитное ПО.

Кликните правой кнопкой мыши по значку нода в трее - Отключить защиту от вирусов и шпионский программ.



+ Запакуйте, пожалуйста, файл C:\Windows\svcadmin.exe в архив, залейте на файлообменник и пришлите ссылку мне в личные сообщения.
 
Вот всё заного провел полную проверку, антивирус выключен, браузеры открыты. Пока ничего не удалял.
 

Вложения

извините, не могу найти где именно в этой программе удалить эти строки, запустил сканирование на крайний случай вновь. Спасибо.
 
GrekID, для этого необходимо повторить сканирование MBAM и отметить необходимые записи для удаления.
 
хотел бы узнать у Вас по поводу антивируса, есть ли смысл удалять его полностью с компьютера, в замен установить хороший файрвол? как например agnitum. Спасибо
 
GrekID, нет, антивирус удалять не следует.

Параметры реестра/файлы в MBAM удалили?

Отключите
Антивирус/Файерволл

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт)
Код: 
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile(RegKeyStrParamRead('HKEY_CURRENT_USER','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders','Startup')+'\0.323412417690618.exe.lnk','');
 QuarantineFile('C:\Users\GrekID\AppData\Local\Temp\0.323412417690618.exe','');
 DeleteFile(RegKeyStrParamRead('HKEY_CURRENT_USER','SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders','Startup')+'\0.323412417690618.exe.lnk');
 DeleteFile('C:\Users\GrekID\AppData\Local\Temp\0.323412417690618.exe');
 RegKeyDel('HKEY_LOCAL_MACHINE','software\microsoft\shared tools\msconfig\startupfolder\C:^Users^GrekID^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^0.323412417690618.exe.lnk');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится. Выполните скрипт в AVZ
Код: 
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Архив quarantine.zip из папки с AVZ отправьте через веб-форму.

Обновите базы AVZ (Меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

E
  • Закрыта
Решена Неизвестный мне вирус, возможно майнер
Ответы
14
Просмотры
585
Sandor
Sandor
И
  • Закрыта
Решена Вирус (возможно taskhostw.exe)
2
Ответы
34
Просмотры
821
Sandor
Sandor
M
  • Закрыта
Решена Возможно поймал вирус
Ответы
2
Просмотры
363
masles
M
Назад
Сверху Снизу